[BSD] pam ldap nyug
Gabor HALASZ
halasz.g at freemail.hu
2010. Május. 31., H, 13:49:45 CEST
On 2010.05.31. 13:17, Papp Tamás wrote:
>
>> May 31 12:59:07 pip login: pam_ldap: error trying to bind as user
>> "cn=HalaszGabor,ou=Users,dc=nns,dc=hu" (Invalid credentials)
>> May 31 12:59:16 pip login: pam_acct_mgmt(): user account has expired
>
> A tobi userrel is ezt csinalja?
Igen, de csak ez a gep. Masik hostrol mukodik.
> Ha ldapsearch-csel lekered a user
> adatait, akkor ugyanazt latod (bar elmeletileg nem lehet ok).
Igen, master-master-ben megy a ket ldap szerver, es rendben van a
szinkron (a log szerint, meg szemmel is)
> Lokalisan
> biztosan nem letezik a user?
Igen, de az a user sem megy, ami lokalisan letezik (pl root).
> Ugyanugy nez ki a pam konfig?
Igen, a gep tulajdonkeppen klonozott, zfs snapshot-bol keszult, csak a
szukseges dolgokat irtam at, nevek, ip cimek, ssl kulcsok, stb...
>
>> Az eleg gaz lenne :) Szerveroldalon eleg nagy logfosas keletkezne, de
>> nem ott van a hiba. A pam_ldap-nak mondtam, hogy debug, a
>> szerveroldali log szerint nincs ldap hiba.
>
> De konkretan a pam szervertol kerdezi le valoban az infot?
Persze, kulonben a fenti logreszletet sem tudna eloallitani, a benne
levo dn-t mar az ldap szerver allitja elo (sasl regexp segitsegevel az
authz tokenbol).
> Esetleg trace?
truss-sal neztem, de nem lettem okosabb. A login.conf/login.conf.db-t
matatja, es utana jon az expired uzenet. A login.conf a mukodo geprol
szarmazik, cap_mkdb volt.
--
Gabor HALASZ <halasz.g at freemail.hu>
További információk a(z) BSD levelezőlistáról